I tuoi “C-level” sono sotto attacco? DarkHotel colpisce i manager che viaggiano spesso

Mobile, Sicurezza

DarkHotel, attivo già dal 2007 con migliaia di vittime infettate in tutto il mondo, sta facendo la sua ricomparsa con una vendetta. Gli attacchi si concentrano principalmente in Asia, ma anche negli Stati Uniti. Questi nuovi attacchi usano tecniche leggermente modificate per infiltrarsi nelle reti. Recentemente, hanno iniziato ad usare la vulnerabilità zero-day di Flash di Hacking Team come principale metodo di infezione.

Gli attacchi solitamente prendono di mira il target dei C-Level che hanno a che fare col pubblico, che sono spesso in viaggio per lavoro e quindi tipicamente connessi a Wi-Fi o altre reti esterne.

DarkHotel è una campagna mirata che utilizza spearphishing, spyware, e malware per attaccare selettivamente gli ospiti degli hotel business che usano la rete Wi-Fi dell’hotel. Se pensavi che il Wi-Fi sicuro dell’hotel con le sue username e password fosse sufficiente per mantenere i dati al sicuro, ti devi ricredere.

I metodi usati da chi attacca non si vedono tutti i giorni. In aggiunta agli exploit zero-day, usano tecnologie avanzate non comuni, inclusi key loggers kernel-mode e reverse engineering che fanno sì che file malevoli appaiano come software legittimo.

Gli attacchi informatici cominciano come una campagna peer-to-peer, che si pone l’obiettivo di infettare più bersagli possibili. I bersagli interessanti vengono poi selezionati con cura per la seconda fase in cui gli attaccanti mettono una backdoor sul sistema per estrarre documenti e dati. Quando le vittime cercano di connettersi al Wi-Fi dell’hotel, un pop-up dice loro di aggiornare Adobe Flash Player e fornisce un file che sembra autentico. Se la vittima scarica il file, installa un Trojan anziché l’aggiornamento del software. Il pop-up appare in realtà prima che la vittima cerchi di accedere al Wi-Fi, permettendo al Trojan di lavorare anche se la vittima non entra affatto nella rete Wi-Fi.

Jarno Niemelä, security advisor presso gli F-Secure Labs spiega: “L’unica funzionalità di DarkHotel è che l’attacco avviene prima che il computer si connetta alla rete aziendale o a Internet. Ciò significa che i livelli di protezione che provengono dalla rete aziendale o da server cloud di vendor di sicurezza non offrono protezione contro questo attacco malevolo.

Ancora più sinistro, il file resta dormiente nel sistema per sei mesi, sfuggendo al controllo del personale di sicurezza IT. Quando DarkHotel alla fine si attiva, l’attaccante è libero di fare qualsiasi cosa voglia sulla rete aziendale.

Essere consapevoli delle tecniche di spear phishing e bloccare contenuti da siti sospetti o sconosciuti sono passi fondamentali nella lotta contro attacchi come DarkHotel.”

Jarno ha anche qualche buona notizia sul blocco dei contenuti: “I più recenti software di sicurezza possono offrire protezione avanzata per permettere al personale IT di bloccare contenuti. Se impostata correttamente, la protezione avanzata blocca file come .exe, Java ecc. sul computer, anche quando non sono sotto la protezione della rete aziendale. In questo modo, chi è responsabile della sicurezza aziendale può essere certo che gli utenti finali non compromettano accidentalmente la rete aziendale.”

 

[Foto originale di Blondinrikard Fröberg]

Articolo tratto da ‘Is your C-level under cyber attack? DarkHotel hits traveling executives?’ di Eija Paajanen, Product Marketing Manager, F-Secure Corp.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: